Freebox et compatibilité IPsec

[klb (Auteur du topic)]

Bonjour,

Les Freebox supportent elle de "router" le protocole ipsec (fonction ipsec passtrough ou nat transversal), si oui quelles versions de Freebox?

Si ce n'est pas supporté, j'imagine qu'il est impossible de conserver la fonctionnalité Wifi dès lors que l'on active le mode bridge?

Mon but serait d'établir un VPN ipsec entre deux sites sachant que cette connexion se fera via un serveur qui utilisera la distribution pfsense:

LAN <---> PFSENSE <----> Freebox <----->Internet <----> Serveur VPN distant ipsec (debian)

Pour information j'ai déjà réussi à établir une liaison entre ces deux sites en utilisant OpenVPN (serveur debian) et en laissant la Freebox en mode routeur

Merci d'avance pour votre aide

[FloBaoti]

Bonjour,

Pourquoi se prendre la tête ? OpenVPN ne fait pas ce que vous voulez ?

[klb (Auteur du topic)]

Bonjour FloBaoti,

Ce n'est pas une prise de tête juste une simple question
Je ne saurais vous résumer facilement les raisons de ce choix mais brièvement les performances d'ipsec sont supérieures pour l'utilisation actuelle de ce VPN.

Autrement avez vous une réponse quand à la compatibilité ipsec de la Freebox?

[FloBaoti]

Non aucune idée pour IPsec. Ca n'utilise pas des ports précis ? c'est ça le problème ? Si les ports sont fixes ça doit être facile...

Niveau perfs, OpenVPN est pourtant pas mal, en UDP bien sur.

[klb (Auteur du topic)]

Ca semble facile mais tous les routeurs ne supportent pas ce protocole, c'est pourquoi j'ouvre ce topic, je ne voudrais pas passer des jours à tester si au final le matériel que j'utilise est incompatible...
Autrement, oui les ports sont fixes.

Quand à la différence de performances entre les deux c'est un "débat" qui fait rage (je te laisse constater: https://www.Google.fr/search?q=performance+OpenVPN+ipsec) mais en réalité cela dépend de beaucoup de facteurs (hardware, etc...). D'après mes nombreuses recherches il n'y a pas de vérité , dans un cas OpenVPN sera le bon choix dans l'autre ce sera ipsec, du cas par cas en somme...

[FloBaoti]

OK bah déjà un protocole qui pose autant de problème pour le mettre en place, c'est poubelle direct

[Freeboooox]

Bonsoir,

Achete toi un routeur TP-Link par exemple, ils savent gérer l'IPsec

Le TD-W8960N qui coûte 30€ sait le faire

https://www.tp-link.com/en/FAQ-244.html

[FloBaoti]

De ce que j'ai compris, il veut juste laisser passer IPSec, pas que le routeur l'implémente. Il a un pfsense derriere pour ça

[Freeboooox]

Oui, mais pour 30€ pourquoi se prendre la tête !!!

[vFiber]

[Fuli]

Bonjour.
Je n'ai eu aucun problème pour créer un tunnel IPsec ikev1 (sans avoir de NAT-T) entre un routeur derrière une Freebox (en DMZ le routeur) et un autre routeur serveur dans la même configuration (en DMZ).
_________________
Un verre, ça va. Trois verres, ça va, ça va, ça va.

[klb (Auteur du topic)]

La solution serait donc de mettre la machine qui gère le VPN en DMZ, je teste ca et je vous tiens au courant.

Fuli: avec quelle version de Freebox tu as réussi?

Merci pour votre aide

[Fuli]

Effectivement, en DMZ cela semble suffisant pour router l'ESP.
J'ai testé avec un client et un serveur VPN IPsec respectivement derrière une v6 et une v5, les 2 Freebox configurés en mode routeur. Mais les clients et serveur étant en DMZ respectivement derrière leur Freebox.
_________________
Un verre, ça va. Trois verres, ça va, ça va, ça va.

[klb (Auteur du topic)]

Après divers tests je n'ai pas réussi à rediriger les ports nécessaires à IPSEC.
En gros le NAT fonctionne sauf sur ces ports (si je nat le https j'arrive bien sur l'interface de mon pfsense, si je nat le DNS j'arrive bien sur le DNS intégré du pfsense)
Que ce soit avec l'IP du pfsense en DMZ ou pas le résultat est le même.
Pour info j'ai même tenté d'ajouter une règle de firewall qui autorise tout sur le pfsense, sans succès...

C'est curieux car certains semblent arriver à leur fin et d'autres non avec une configuration identique, il y aurait il plusieurs types de hardware sur la Freebox V5?